情報セキュリティ
授業科目区分
専門科目
専門科目 情報テクノロジーコース
まちラボ・わくらぼ:使用しない
選択科目 2単位 4年次 後期
担当教員
ゴータム・浅海
学習教育の目標
企業等の組織の一員になれば、必ず対応が求められる情報セキュリティ維持のための活動、規定、管理等に関する知識の獲得を目標とする。さらにその背景、必要性を理解し、実践できるようになることを目標とする。
授業の簡単な概要
企業活動において、情報の重要性はますます増してきています。従来からの文書類の情報とともに、ITの進展、ネットワークの拡大に伴い電子化された情報を有効に活用することが求められてきています。また個人の生活においても、ネットワークが各家庭に広くいきわたっている現在、やはり情報の収集、発信が重要な要素になってきています。
これらの情報は、正しい内容であり、必要なときに適時に活用でき、また必要な情報が網羅されてこそ、その価値があります。また、その情報は正当な権限を持つ関係者のみが利用することができ、権限の無い者には、秘匿されていることが必要です。これらを維持する環境が整ってこそ、関係者が安心して情報を活用することができます。
本講座では、企業活動および個人生活を行う人、更には企業などの組織で情報および情報セキュリティの管理を行う人に向けて、情報セキュリティの実務的な観点を紹介し、その対策のいくつかを実習を交えて学習していきます。
この科目のキーワード
アクセス制御、個人識別、暗号、認証、セキュリティ評価・監査、マルウェア対策、ネットワークセキュリティ、不正アクセス対策、ソフトウェア保護、プライバシー保護、情報フィルタリング、ディジタルフォレンジクス、バイオメトリクス
履修もしくは取得していなければいけない科目
システム管理論、ネットワーク管理論I,II
履修に必要な予備知識や技能
ネットワークに関する基礎知識
その他この科目を履修するために必要な条件
6人以上の受講者がある場合、3人、3人のチームを作り、攻撃側、防御側に分かれて対戦ゲーム型の演習を行います。
学習支援
対面講義、オンラインテキスト
質問は、授業中、オフィスアワーいつでも対応します。
LMS上のフォーラムでも対応します。
オフィスアワー
時間割決定後に授業等で連絡します。
学習内容
- 情報セキュリティとは
情報セキュリティの目的と考え方
情報セキュリティの概念,機密性(Confidentiality),完全性(Integrity),可用性(Availability),真正性(Authenticity),責任追跡性(Accountability),否認防止(Non-Repudiation),信頼性(Reliability),OECD セキュリティガイドライン(情報システム及びネットワークのセキュリティのためのガイドライン)
情報セキュリティの重要性 情報セキュリティの水準の高さによる企業評価の向上,情報システム関連の事故がもたらす事業存続への脅威,サイバー空間,情報資産,脅威,脆ぜい弱性
- 情報セキュリティの動向と展望
法人・個人共通 - 標的の多様化
ネットバンキング不正送金、法人ネットバンキング電子証明書窃取、脆弱性を悪用した攻撃、ゼロディ攻撃、オープンソースソフトウェアを狙った攻撃、POSシステム上のクレジットカード情報窃取、個人(窃取されたIDパスワード)を狙ったフィッシングサイトへの誘導、モバイルを狙う脅威の増加・深刻化、不正アプリ、法人を狙った個人情報漏洩
今後の展望
モバイル決済システムを狙う脅威、オープンソースを狙った脅威の増加、 標的型サイバー攻撃の多様化、 IoE/IoTで取り扱われる情報が標的
- 脅威 〔脅威の種類〕
物理的脅威(事故,災害,故障,破壊,盗難,不正侵入 ほか),技術的脅威(不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか),人的脅威(誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか),サイバー攻撃,情報漏えい,故意,過失,誤謬びゅう,不正行為,妨害行為,サービス妨害,風評,炎上,SPAM(迷惑メール),ファイル共有ソフト
- 脅威 〔マルウェア・不正プログラム〕
コンピュータウイルス,マクロウイルス,ワーム,ボット(ボットネット,遠隔操作型ウイルス),トロイの木馬,スパイウェア,ランサムウェア,キーロガー,ルートキット,バックドア,偽セキュリティ対策ソフト型ウイルス
- 〔脆弱性〕 バグ,セキュリティホール,人為的脆弱性
〔不正のメカニズム〕 不正のトライアングル(機会,動機,正当化),状況的犯罪予防
- 攻撃について
〔攻撃者の種類 〕
スクリプトキディ,ボットハーダー,内部関係者,愉快犯,詐欺犯,故意犯
〔攻撃の動機〕
金銭奪取,ハクティビズム,サイバーテロリズム
〔サイバー攻撃手法〕
・パスワードクラック(総当り攻撃(ブルートフォース),辞書攻撃 ほか),パスワードリスト攻撃
・クロスサイトスクリプティング,クロスサイトリクエストフォージェリ,クリックジャッキング,ドライブバイダウンロード,SQL インジェクション,ディレクトリトラバーサル
・中間者攻撃(Man-in-the-middle),第三者中継,IP スプーフィング,キャッシュポイズニング,セッションハイジャック,リプレイ攻撃
・DoS 攻撃,DDoS 攻撃,メールボム
・標的型攻撃(APT(Advanced Persistent Threats),水飲み場型攻撃 ほか)
・フィッシング(ワンクリック詐欺,スミッシング ほか),ゼロデイ攻撃
- 情報セキュリティ技術(1)
情報セキュリティ技術(暗号技術)
CRYPTREC 暗号リスト,暗号方式(暗号化(暗号鍵),復号(復号鍵),解読,共通鍵暗号方式(共通鍵),公開鍵暗号方式(公開鍵,秘密鍵)), AES(Advanced Encryption Standard),RSA(Rivest,Shamir,Adleman),
S/MIME(Secure MIME), PGP(Pretty Good Privacy),ハイブリッド暗号,ハッシュ関数(SHA-256 ほか),鍵管理,ディスク暗号化,ファイル暗号化,危殆化
- 情報セキュリティ技術(2)
情報セキュリティ技術(認証技術) ディジタル署名(署名鍵,検証鍵),タイムスタンプ(時刻認証),メッセージ認証,MAC(Message Authentication Code:メッセージ認証符号),チャレンジレスポンス認証情報セキュリティ技術(利用者認証) ログイン(利用者ID とパスワード),アクセス管理,IC カード,PIN コード,ワンタイムパスワード,多要素認証,シングルサインオン,CAPTCHA,パスワードリマインダ,パスワード管理ツール
情報セキュリティ技術(生体認証技術) 静脈パターン認証,虹彩認証,声紋認証,顔認証,網膜認証,署名認証,本人拒否率,他人受入率
情報セキュリティ技術(公開鍵基盤) PKI(Public Key Infrastructure:公開鍵基盤),ディジタル証明書(公開鍵証明書),ルート証明書,サーバ証明書,クライアント証明書,CRL(Certificate Revocation List:証明書失効リスト)
- 情報セキュリティ管理、リスク分析と評価(情報資産の調査・分類)、リスク分析と評価(リスクの種類)、リスク分析と評価(情報セキュリティリスク
アセスメント)、リスク分析と評価(情報セキュリティリスク対応)、情報セキュリティ継続、情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)、情報セキュリティマネジメントシステム(ISMS)、情報セキュリティ組織・機関、セキュリティ技術評価
- 情報セキュリティ対策
人的セキュリティ対策、技術的セキュリティ対策、物理的セキュリティ対策
- セキュリティ実装技術(1)
〔セキュアプロトコル〕
IPSec,TLS,SSL,SSH
〔ネットワークセキュリティ〕
パケットフィルタリング,MAC アドレス(Media Access Control address)フィルタリング,認証サーバ,VLAN(Virtual LAN),VPN(Virtual Private Network:仮想私設網),セキュリティ監視,ハニーポット,リバースプロキシ
- セキュリティ技術の実装演習(1)
〔セキュアプロトコル〕
IPSec,TLS,SSL,SSH
〔ネットワークセキュリティ〕
パケットフィルタリング,MAC アドレス(Media Access Control address)フィルタリング,認証サーバ,VLAN(Virtual LAN),VPN(Virtual Private Network:仮想私設網),セキュリティ監視,ハニーポット,リバースプロキシ
- セキュリティ実装技術(2)
〔データベースセキュリティ〕
データベース暗号化,データベースアクセス制御,データベースバックアップ,ログの取得
〔アプリケーションセキュリティ〕
Web システムのセキュリティ対策,セキュアプログラミング,バッファオーバフロー対策,クロスサイトスクリプティング対策,SQL インジェクション対策、耐タンパー性 (tamper resistant)
- セキュリティ技術の実装演習(2)
〔データベースセキュリティ〕
データベース暗号化,データベースアクセス制御,データベースバックアップ,ログの取得
〔アプリケーションセキュリティ〕
Web システムのセキュリティ対策,セキュアプログラミング,バッファオーバフロー対策,クロスサイトスクリプティング対策,SQL インジェクション対策、耐タンパー性 (tamper resistant)
- ネットワークセキュリティ攻撃と防御の対戦型演習
教科書
LMS上の講義資料
参考書
必要があれば適宜指示する。
NDC
548
科目分類コード
1106
達成度評価(評価方法:合計100点)
試験: 40 / 100
レポート: / 100
小テスト(中間テストなど含む): / 100
小レポート(中間レポートなどを含む): / 100
作品: / 100
ポートフォリオ: 40 / 100
その他:
学習意欲の定量的評価 20